服務(wù)器: COM_TABLE_DUMP - 正整數(shù) (Signed Integer) 的漏洞
MySQL 4.x 之前的版本在處理 COM_TABLE_DUMP 時�,會從封包中抽取兩國字符 (chars),將它直接轉(zhuǎn)換成不帶符號 (unsigned integers) 的整數(shù)和利用它作為 memcpy 長度參數(shù)。若利用字符去表達負數(shù)�����,明顯地會轉(zhuǎn)化成一個 非常大的不帶符號的整數(shù)�。由于是以堆陣至堆陣 (heap to heap) 的復制模式操作,并且在 SIGSEGV 處理器內(nèi) 沒有分配記憶的功能��,這個漏洞相信只可被用作阻斷服務(wù) (denial of service) 攻擊�。根據(jù)不同的封包,mysqld 會直接被癱瘓或進入循環(huán)的分割錯誤 (segmentation faults) 當機狀態(tài)�����。這項漏洞已在 Windows�,Linux, FreeBSD 系統(tǒng)上測試證實���。
服務(wù)器: COM_CHANGE_USER - 密碼長度的漏洞
在 2000 年 2月��,Robert van der Meulen 發(fā)現(xiàn)了一項 MySQL 系統(tǒng)內(nèi)主要核實密碼的缺憾:MySQL 安全響應(yīng)機制 (challenge response algorithm) 會建立一個預算的響應(yīng)�,而響應(yīng)的長度會和客戶端所提供的一樣��。若客戶端只傳送一個字符長到度的響應(yīng) �����,MySSQL 只會檢查一個位。換言之��,它能嘗試 32 次去給與正確的響應(yīng) (因為字符集最大只是 32 個字符)�。作者在 2000 年修補這項漏洞時,在服務(wù)器上只加入了一個檢查響應(yīng)長度必須是 8 個字符的規(guī)則��。但是��,他們忘記了將這個檢查新增到 COM_CHANGE_USER 指令�,所以仍然有可能讓擁有合法的 MySQL 帳戶的攻擊者控制在相同主機上允許登入的其它帳戶。對于本機使用者��,他可以進入 MySQL 的超級使用者帳戶�,繼而控制所有數(shù)據(jù)庫�����。若這個問題發(fā)生在共享資源的情況下���,或超級使用者可以從本機以外的主機登入系統(tǒng)都會十分危險���。當攻擊者從可以提供長度為一個位的響應(yīng)去入侵其它帳戶,它亦可以傳送一個超過長度限制的響應(yīng)�。如果響應(yīng)的長度超過 16 字符,內(nèi)部所建立的預算答案會令堆棧滿溢�����。如果有足夠長度的響應(yīng),有可能會導致由密碼核對原理所使用的隨機數(shù)字生產(chǎn)器 (random number generator) 所產(chǎn)生的字符覆寫已儲存的指令指示器 (instruction pointer) �����。這種攻擊模式雖然有一定的難度���,但 e-matters 已經(jīng)證實在他們的 linux 系統(tǒng)下 成功利用這項漏洞��。由于 MySQL 程序在癱瘓時會重新激活����,人們便可以無限地進行嘗試���。由于隨機數(shù)字生產(chǎn)器所產(chǎn)生的字母組合是有限的�����,并且要在指令指示器上覆寫可控制的正確地址是不可能的����,所以相信要在 Windows 平臺上攻擊這項漏洞相信是不可能的。
客戶: libmysqlclient read_row 的滿溢漏洞當 MySQL 客戶函式庫接收由服務(wù)器傳送來的答案行時��,它想將答案復制到另一個緩沖區(qū)�����,所以它會循環(huán)地去接收回傳的字段和復制到其它位置�。這個過程當中,程序并不檢查儲存的字段大小是否在目的地緩沖區(qū)的大小范圍之內(nèi)���。此外�,一般會在所有字段的結(jié)尾部份加入一個 ‘\0‘ 作為終斷符號���,卻沒有檢查目的地緩沖區(qū)是否有足夠的空間�����。由于這項漏洞只需一個簡單 SELECT 指令便可經(jīng)有問題的libmysql 查詢與它有動態(tài)連結(jié)的任何東西?;谶@個漏洞的性質(zhì),它很容易被用來對客戶端應(yīng)用程序進行阻斷服務(wù)攻擊���。(一個負數(shù)值的字段長度已可達到這個目的)�����。如果可以利用這個滿溢的漏洞在客戶端系統(tǒng)去執(zhí)行程序代碼�����,是有別與程序與程序之間的執(zhí)行����。實際上,主要視乎 malloc() 能否在特定系統(tǒng)上成功造成滿溢�����,而應(yīng)用程序能否透過激活不同的執(zhí)行路徑足以控制整個堆陣結(jié)構(gòu)�����。
客戶: libmysqlclient read__one_row 的字符集覆寫漏洞
當 MySQL 客戶函式庫傳送一行由 MySQL 服務(wù)器所獲得的記錄��,它會循環(huán)經(jīng)過所有字段記錄字段數(shù)值的指示器位置�����。這是一個可信賴的字段大小����,所以不需檢查是否存在超出界限的情況�����。當記錄完指示器的位置后�����,之前的字段會以零作為終結(jié)符號�。一個詭造的封包可以提供任何字段的大小�,所以可以令任意的記憶地址被覆寫為 ‘\0‘。一個非法的地址絕對會令客戶端癱瘓�����。由于任意寫入的地址�,最大可能利用這項漏洞對所有利用遂行方式傳送的客戶端,執(zhí)行任意的程序代碼���。
影響
數(shù)個 MySQL (lib) 內(nèi)的漏洞可能允許控制客戶端或服務(wù)器。
受影響之系統(tǒng)
MySQL 3.23.53a 之前的版本
MySQL 4.0.5a 之前的版本
解決方案
請于安裝修補程序前瀏覽軟件供貨商之網(wǎng)頁����,以獲得更詳盡資料��。
請在這里下載修補程序:
供貨商已發(fā)放修補這些漏洞的 MySQL 3.23.54 ( ) 版本����。
------------------------------- · 相關(guān)文檔瀏覽 · --------------------------------------------------------------------- · 熱門文檔瀏覽 · -------------------------------------
